Una vulnerabilidad 0-day en Oracle PeopleSoft permitió a hackers robar a más de un centenar de organizaciones
La empresa pide apagar urgentemente los servidores a mano ante la falta de una solución definitiva.
Los grandes sistemas empresariales a menudo son objetivo no por sus funciones llamativas, sino por sus módulos de servicio silenciosos, donde durante años se almacenan datos de empleados, estudiantes y clientes. El colectivo ShinyHunters afirmó que explotó una vulnerabilidad crítica de día cero en Oracle PeopleSoft y accedió a más de 100 organizaciones a través de 300 instancias vulnerables de la plataforma.
El primer caso confirmado públicamente fue la Universidad de Nottingham. Según los atacantes, mediante PeopleSoft sustrajeron 40 GB de datos personales y registros de pagos de cientos de miles de estudiantes actuales y antiguos. La universidad apareció en el sitio de fugas de ShinyHunters el martes, 9 de junio, y más tarde ese mismo día los archivos robados fueron publicados.
Google Threat Intelligence confirmó actividad, similar a la explotación de CVE-2026-35273 (9.8 según la escala CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), en el período del 27 de mayo al 9 de junio. La empresa notificó a más de 100 organizaciones en todo el mundo cuyas direcciones IP coincidían con puntos de acceso potencialmente vulnerables. La mayoría de esas organizaciones están en EE. UU., y el 68 % pertenecen al sector de la educación superior.
PeopleSoft lo usan grandes empresas e instituciones para gestionar recursos humanos, nóminas, facturación, cadenas de suministro y registros estudiantiles. La vulnerabilidad CVE-2026-35273 permite a un atacante remoto sin autorización, con acceso en red por HTTP, comprometer PeopleSoft Enterprise PeopleTools y obtener el control total de la plataforma.
La Universidad de Nottingham confirmó el incidente al día siguiente de la publicación de los datos, y Oracle emitió una alerta de seguridad fuera de calendario. Al momento de la publicación no está claro si Oracle ha lanzado una corrección para cerrar la vulnerabilidad. El representante de Mandiant, Charles Carmakal, dijo que Oracle ya publicó medidas de mitigación del riesgo y que las correcciones deberían aparecer más adelante.
Hasta que salga una actualización completa, las organizaciones deberían aplicar con urgencia las recomendaciones de Oracle, comprobar la disponibilidad de PeopleSoft desde redes externas, restringir el acceso HTTP a la plataforma, revisar los registros del período del 27 de mayo al 9 de junio y comprobar por separado los sistemas donde se almacenan datos personales y de pago.